debianforum.de

Ist es möglich, etwa durch das Sperren von bestimmten Ports, das Ausführen von
Tor als Exit Node generell unmöglich zu machen?
Wenn es schon kein Tor ohne Exit Node Funktion gibt, hätte man so zumindest
einen zusätzlichen Schutz.

Wie bitte? Kannst du das nochmal anders Formulieren, ich bin nicht sicher ob ich dich verstehe.

Du hast ein Sever? Oder ein Netzwerk? Und willst nicht das andere auf diesen Server oder Netzwerk einen Tor Exit node starten?
In einem Netzwerk was hinter einem NAT ist sollte das nicht gehen, es sei denn du hast denen die Ports weitergeleitet.

Ich geh mal davon aus, das Du Tor nutzen willst, aber maximal als Relay, dh nur Pakete innerhalb des Tornetzes weiterleiten, aber keine entzwiebelten Anfragen ins "normale" Netz rausgeben: schau mal in die Doku, da lässt sich einiges einstellen, https://www.torproject.org/docs/tor-manual.html.en unter anderem ExitRelay und ExitPolicy

Normal startet der Tor client kein Exit node.

@Lard_Carlos
so ist es.
In der torrc kann man dies entsprechend nachschauen und einstellen.
Per Default sollten dein Tor Server nur als Relay arbeiten.
Hierbei solltest du die offizielle Tor Doku mal durschauen und dich auch mit dem Lifecycle deines Nodes informieren.
Es kann is 60 Tage+ dauern bis dein Tor Server dann den vollen Durchsatz erreicht.
Ggf. wilslt du dir auch mal das tor-arm Paket auf die Kiste hauen.
Dann kannst du dein Tor Node lokal überwachen und schauen wie der Status des Nodes ist.

Martin

Wenn es schon kein Tor ohne Exit Node Funktion gibt, hätte man so zumindest
einen zusätzlichen Schutz.

Per Default sollten dein Tor Server nur als Relay arbeiten.

Wenn man Tor aus den Paketquellen installiert, dient es NUR als Proxy, mit dem man über das Tor-Netzwerk ins Internet gehen kann.

Es ist kein Exit Node, kein Relay oder sonst etwas in der Art aktiv.
Soll Tor mehr können und tun, als nur als Proxy zu dienen, kann man das in der gut dokumentierten torrc einstellen.

Eine Möglichkeit zur interaktiven Tor-Konfiguration ist tor-arm.

Viele Grüße, Martin

tor-arm gibt nur eine Fehlermeldung aus (unknown type p).

Es geht darum, zu verhindern dass man Tor
ungewollt auf einem über dsl
verbundenen Rechner als Exit Node ausführt.
Es geht, wie bereits geschrieben, um einen zusätzlichen
Schutz, dass selbst im unwahrscheinlichsten Fall (Fehlkonfiguration, etc.)
nichts passieren kann.

@remos
Der tor-arm Fehler sagt mir erst einmal wenig.
Ansonsten gibt es erst einmal zwei Lösungen.

1.In torrc die entsprechenden Einstellungen vornehmen
2.In deiner Router Firewall die Ports einfach nicht öffnen.

Wenn keine Ports offen sind, kommt nichts rein und es geht auch nichts raus.
Mehr Sicherheit kann dir keiner sinnvoll geben.
Alternativ auch direkt lokal per iptables etc. die Ports blocken.

Martin

Milbret hat geschrieben:2.In deiner Router Firewall die Ports einfach nicht öffnen.

Tor hat absichtlich keine default ports (bzw. 80+443), damit man das Provider seitig nicht filtern kann.

Ansosnten wenn tor merkt, dass es hinter einer NAT steht schaltet es Relais automatisch ab.
Du kannst nochmal zusätzlcih ExitPolicy reject *:* und BridgeRelay 1 in die torrc schreiben, Dann machst du ein Exit und eine Bridge aus.
Oder RelayBandwidthBurst auf 0 KB setzen.

Ansonsten: Wie stellst du sicher, dass dein Chrome oder Gnome keine remote-Desktop starten, nc keinen Proxy erstellt, perl dir nen Webserver startet, der VLC deine Webcam irgendwohin streamt oder der ffmpeg deinen Desktop?
Das sind alles durchaus übliche Nutzungszenarien die da auch absichtlich eingebaut wurden, der Typische Nutzer nicht haben will.
Gib mir ein größeres Programm, und ich kann damit was machen, was du eher nicht willst. Du kannst da einfach nichts machen.

Ansosnten wenn tor merkt, dass es hinter einer NAT steht schaltet es Relais automatisch ab.
Du kannst nochmal zusätzlcih ExitPolicy reject *:* und BridgeRelay 1 in die torrc schreiben, Dann machst du ein Exit und eine Bridge aus.
Oder RelayBandwidthBurst auf 0 KB setzen

Wobei das alles Einstellungen sind, die man in Tor macht. Mir ging es um eine zusätzliche Sicherung die
unabhängig von diesen Einstellungen funktioniert.

Soweit ich die Funktionsweise von Tor verstanden habe, funktioniert Tor im "Exit Node"-Modus wie
ein Server, d.h. es müssen entsprechende Ports für die Kommunikation von außen nach innen
freigegeben werden. Wenn dies nicht der Fall ist, sollte Tor auch nicht als Exit Node funktionieren.

Wenn dies so ist, wäre das bereits ein zusätzlicher Schutz.

Tor funktioniert sowohl als Client als auch als Server.
Hier solltest du dich in das Thema genauer einlesen damit du die Funktionsweise bestens verstehst.
Um eine saubere Config kommst du hier nicht herum.
Was ist wenn du mal den Router wechselst und die Firewall dann wieder offen ist.
Dann würde wegen einer falschen Config ein Exit Node laufen.

Ansonsten sollte es reichen im Router zusätzlich die Ports zu schließen bzw. garn icht erst zu öffnen.
Hier fehlt mir aber das Know How um sagen zu können ob Tor dann überhaupt lauffähig ist.
Da Tor auch auf eigenen Ports die Daten senden/empfängt müsste dafür in der Firewall der Port geöffnet werden.
Hier müsstest du dich aber mal in die Doku einlesen.

Martin